Kostenlosen Ratgeber zur Verteidigung gegen
Abmahnung als 28 Seiten PDF-Dokument
Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!
Ab dem 25. Mai 2018 werden Unternehmen zum Teil die datenschutzrechtlichen Vorgaben der neuen EU-Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung)“ - oder kurz DSGVO - und des geänderten Datenschutzgesetzes zu beachten haben.
Damit besteht unserer Ansicht nach für Unternehmen in Bezug auf die umfassenden Betroffenenrechte, die erweiterten Dokumentationspflichten und vor dem Hintergrund der hohen Bußgeld- und Schadensersatzrisiken bis dahin ein erheblicher Anpassungs- und Änderungsbedarf.
Mit der Einführung der DSGVO wird der Datenschutz europaweit einheitlich geregelt. Sie dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie erlangt ohne Umsetzungsakt unmittelbare Geltung (Vollharmonisierung durch Wahl einer Verordnung anstatt einer Richtlinie). Zudem hat sie als europäisches Sekundärrecht Anwendungsvorrang vor den nationalen Normen (wie dem BDSG). Damit werden die Regelungen des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze hinfällig. Somit werden umfangreiche Neuregelungen notwendig. Eine Angleichung des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze wird somit zu folgen haben.
Die DSGVO gilt für alle Stellen, die ganz oder teilweise automatisiert oder nichtautomatisiert personenbezogene Daten verarbeiten, welche in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Dabei gelten ein paar wenige Ausnahmen:
Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU), welches zur Umsetzung der DSGVO im deutschen Recht dienen soll und das bisherige BDSG ablösen wird, wird für öffentliche Stellen des Bundes, öffentliche Stellen der Länder, welche personenbezogene Daten verarbeiten und nichtöffentliche Stellen, welche die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, durchführen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Zudem findet es auf nichtöffentliche Stellen nur Anwendung, sofern
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes, öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.
Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
[...]
(4) Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet es Anwendung, sofern
der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.
[...]
(Hervorhebungen nicht im Original)
Die Begriffe Öffentliche Stellen des Bundes und der Länder, sowie Nichtöffentliche Stellen werden im § 2 BDSG n.F. definiert:
(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich- rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
(4) Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
(5) Öffentliche Stellen des Bundes gelten als nichtöffentliche Stellen im Sinne dieses Gesetzes, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist.
(Hervorhebungen nicht im Original)
In Deutschland sind alle Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, gesetzlich verpflichtet, die erforderlichen und angemessenen technischen und organisatorischen Maßnahmen zum Erzielen und Aufrechterhalten der Datensicherheit zu treffen.
Dies ergibt sich bisher vor allem aus § 9 BDSG i.V.m. der Anlage zu § 9 S. 1 BDSG. Dabei verlangt § 9 BDSG ausdrücklich eine Verhältnismäßigkeit von Maßnahme und Schutzzweck.
Der Anforderungskatalog in der Anlage zu § 9 S. 1 BDSG listet eine Reihe von Maßnahmen auf, um das Ziel Datensicherheit zu erreichen. Die gesetzlichen Anforderungen an die erforderlichen Datensicherungsmaßnahmen sind unserer Ansicht nach im Gesetz jedoch flexibel gehalten, da sie u.a. unabhängig von einem bestimmten Stand der Technik und verwendeten Medien beschrieben werden.
In Anlage zu § 9 S. 1 BDSG sind in den Nummern 1 bis 8 folgende Maßnahmen aufgelistet:
Nr. 1: Unbefugten soll durch Zutrittskontrollmaßnahmen der physische Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden.
Nr.2: Zugangskontrollmaßnahmen sollen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindern.
Nr.3: Zugriffskontrollmaßnahmen sollen sicherstellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Nr. 4: Mit der Weitergabekontrolle soll verhindert werden, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es soll zudem überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
Nr. 5: Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht worden sind.
Nr. 6: Die Auftragskontrolle soll dazu dienen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können.
Nr. 7: Die Verfügbarkeitskontrolle soll gewährleisten, dass Daten gegen die zufällige Zerstörung oder den Verlust geschützt sind.
Nr. 8: Durch das Trennungsgebot ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Es liegt im Ermessen des Unternehmens, welche konkreten Maßnahmen zum Schutz der Daten in den benannten Bereichen ergriffen werden. Trifft ein Unternehmen nicht die erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung von Datenschutz und Datensicherheit, kann es nach dem aktuellen Bundesdatenschutzgesetz weder mit Bußgeldern noch mit Strafen rechnen. Die Aufsichtsbehörden können lediglich fordern, dass die geeigneten Maßnahmen vorgenommen werden und die weitere Datenverarbeitung bis zum Erreichen eines angemessenen Schutzniveaus verbieten.
Die Bundesregierung hat einen Gesetzesentwurf vorgelegt, welcher auch ein Anpassungsgesetz zur EU-DSGVO umfasst. Dieser Entwurf wurde am 28.04.2017 vom Bundestag angenommen, am 12.05.2017 hat der Bundesrat zugestimmt und am 30.06.2017 verkündet.
Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) wird am 25.05.2018 in Kraft treten.
Dieses Gesetz enthält umfassende Neuregelung des allgemeinen Datenschutzrechts für öffentliche Stellen des Bundes und der Länder sowie für nicht-öffentliche Stellen im Zuge der Umsetzung von EU-Recht.
Es beinhaltet u.a. eine Neuregelung des Beschäftigtendatenschutzes. Der neue § 26 BDSG (n.F.) orientiert sich am bisherigen § 32 BDSG, ist allerdings wesentlich umfangreicher und facettenreicher als der bisherige § 32 BDSG. § 26 BDSG (n.F.) stellt wie § 32 BDSG auf das Merkmal der „Erforderlichkeit“ der Verarbeitung personenbezogener Daten ab. Man geht im Schrifttum unter Bezug auf die Gesetzesmaterialien davon aus, dass im Rahmen praktischer Konkordanz die widerstreitenden Grundrechtspositionen von Arbeitgeber und Arbeitnehmer gegeneinander abzuwägen sind.
Weiterhin enthält § 26 BDSG n.F. die Gestattung zur Verarbeitung personenbezogener Daten der Beschäftigten. Dazu enthält er eine Erforderlichkeitsprüfung, welche somit auch als allgemeiner Maßstab für die Arbeit des Betriebsrats im Umgang mit Arbeitnehmerdaten herangezogen werden könnte.
Auch eine Einwilligung des Arbeitnehmers soll möglich bleiben.
Für Kollektivvereinbarungen, wie auch die Betriebsvereinbarung, wurde speziell der § 26 Abs. 4 BDSG n.F. eingefügt. Dieser Absatz enthält eine Feststellung, dass weiterhin in Vereinbarungen die Verarbeitung von Arbeitnehmerdaten erlaubt werden kann. Diese Regelung basiert unmittelbar auf Art. 88 Abs. DSGVO.
Art. 88 Abs. 2 DSGVO auszugsweise:
„Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, [...]“
„[...] insbesondere im Hinblick auf die Transparenz der Verarbeitung, [...]“
„[...] die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, [...]“
„[...] und die Überwachungssysteme am Arbeitsplatz.“
(Hervorhebungen nicht im Original)
Die Betriebsräte haben in der Regel für den Arbeitnehmerschutz zu sorgen. Die DSGVO dient als spezielles Schutzgesetz und soll für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sorgen. So wäre es wohl Aufgabe der Betriebsräte auch über dessen Einhaltung zu wachen, zur Zuständigkeit und zum Mitbestimmungsrecht des Betreibsrates bzw. Konzernbetriebsrat lesen Sie nach einem Klick auf diesen Link weiter.
Es könnten entweder Neuverhandlungen über die bestehenden Betriebsvereinbarungen oder die Zusammenarbeit zwecks Errichtung einer vollständig neuen Betriebsvereinbarung notwendig werden.
Da inklusive Unterrichtung über die neue Rechtslage diese Verhandlungen vermutlich viel Zeit in Anspruch nehmen werden, ist daher der alsbaldige Beginn empfehlenswert.
Die neuen Regelungen des DSGVO haben nicht nur Auswirkungen auf einzelne Maßnahmen/ Bußgeldhöhen usw., vielmehr ist unserer Ansicht nach das gesamte betriebliche Datenschutz-System daran auszurichten (sog. Datenschutz-Management-System).
Aus § 5 Abs. 1, Abs. 2 DSGVO ergibt sich eine neue Rechenschaftspflicht für den Arbeitgeber. So muss dieser demnach nicht nur die Einhaltung dieser Grundsätze gewährleisten, vielmehr muss er dies im Nachhinein auch nachweisen können.
Die verschiedenen Pflichten des Arbeitgebers sind in verschiedenen Vorschriften der DSGVO genau beschrieben.
„(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; [...]“
„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: [...]“
„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
„(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: [...]“
(es gilt jeweils Hervorhebungen nicht im Original)
Viele der datenschutzrechtlichen Konzepte und Prinzipien der DSGVO ähneln nach unserem Dafürhalten der bisherigen EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), deren Vorschriften in Deutschland mit dem deutschen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden.
Allerdings sind die Vorschriften der DSGVO noch weitreichender.
Zur Auslegung der Artikel der Datenschutz-Grundverordnung können die Erwägungsgründe der DS-GVO mit herangezogen werden. Auf EU-Ebene hat die Artikel-29-Datenschutzgruppe 2016 einen Aktionsplan zur Umsetzung der Datenschutz-Grundverordnung (DS-GVO) erstellt.
Aber auch die deutschen Datenschutzbehörden haben sich zur Auslegung der Datenschutz-Grundverordnung geäußert. Dabei ist allerdings zu beachten, dass es sich bei Stellungnahmen und Beschlüssen der Aufsichtsbehörden der Länder, der Art. 29 Datenschutzgruppe und des Düsseldorfer Kreises um Behördenmeinungen handelt. An diesen Aussagen kann man sich zwar orientieren, allerdings sind sie nicht rechtsverbindlich und entfalten keine Vertrauenswirkung. Letztendlich zählen die Entscheidungen des EuGHs.
Es existieren aktuell die folgenden Auslegungshilfen der deutschen Datenschutzbehörden:
Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat am 04. Mai 2016 eine Broschüre zur DS-GVO veröffentlicht, welche einführende Erläuterungen zum Inhalt der Verordnung enthält.
Der Düsseldorfer Kreis ist als Arbeitskreis der unabhängigen deutschen Datenschutzbehörden des Bundes und der Länder zuständig für deren Kommunikation, Kooperation und Koordinierung. Er ist für verschiedene Arbeitsgremien eingeteilt und veröffentlicht Datenschutzrichtlinien und Praxishilfen für bestimmte Themen.
Die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben bisher acht Kurzpapiere veröffentlicht, welche als erste Orientierung zur Auslegung und Anwendung der DS-GVO dienen sollen.
Diese Kurzpapiere befassen sich mit den folgenden Themen:
Diese Kurzpapiere können auf den Internetseiten der Aufsichtsbehörden abgerufen werden.
Der Hessische Datenschutzbeauftragte hat zur Auslegung der ab dem 25.05.2018 unmittelbar anwendbaren Bestimmungen das Arbeitspapier „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ auf der Website https://www.datenschutz.hessen.de/ veröffentlicht.
Das Bayrische Landesamt für Datenschutzaufsicht hat seit Juni 2016 in regelmäßigen Abständen inzwischen 20 Kurzpapiere als Auslegungshilfen der DS-GVO bereitgestellt.
Diese befassen sich mit den Artt. 9, 17, 30, 32-34, 35, 37-40, 42 DS-GVO und den Themen „Videoüberwachung nach der DS-GVO“, „Sanktionen nach der DS-GVO“, „Einwilligungen nach der DS-GVO“, „Auftragsverarbeitung nach der DS-GVO“, „Datenübermittlung in Drittstaaten nach der DS-GVO“, „Verarbeitung personenbezogener Daten für Werbung“, „One Stop Shot“, „Amtshilfe und gemeinsame Maßnahmen der Aufsichtsbehörden“, „Einwilligung eines Kindes“, „Auskunftsrecht der betroffenen Person“, und „Beschäftigtendatenschutz nach der DS-GVO und BDSG – neu“.
Für den bestehenden Anpassungs- und Weiterentwicklungsbedarf an die Vorgaben der DS-GVO gibt es unserer Ansicht nach für die Unternehmen keine Musterlösung. Allerdings werden ihnen Hilfestellungen angeboten. Eine Auswahl dieser uns aktuell vorliegenden Hilfestellungen soll im Folgenden aufgezeigt werden:
Die Aufsichtsbehörden für Datenschutz im nicht-öffentlichen Bereich haben auf der Datenschutzkonferenz am 24.05.2017 10 Punkte für Unternehmen als Anregung zur Vorbereitung auf die DS-GVO zusammengestellt.
Zudem haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) acht Kurzpapiere veröffentlicht, welche als erste Orientierung dienen sollen, wie die DS-GVO nach ihrer Auffassung im praktischen Vollzug angewendet werden sollte.
Insbesondere wurde ein Maßnahmenplan „DS-GVO“ für Unternehmen entwickelt.
Der Hessische Datenschutzbeauftragte hat davon gesondert zur Anwendung und Auslegung der ab dem 25.05.2018 unmittelbar anwendbaren Bestimmungen das Arbeitspapier „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ auf der Website https://www.datenschutz.hessen.de/ veröffentlicht, um Unternehmen, öffentlichen Stellen, Datenschutzbeauftragten eine erste Orientierung zur neuen Rechtslage zu ermöglichen.
Das Bayrische Landesamt für Datenschutz hat einen Fragenkatalog für Unternehmen zur Umsetzung der DS-GVO veröffentlicht.
Das ULD hat bereits 2011 Handreichungen und Vorlagen für eine datenschutzkonforme Dokumentation veröffentlicht. In ihrem Tätigkeitsbericht 2017 verweist die ULD auf diese Vorlagen, um den nach der DS-GVO geforderten Nachweis und Dokumentationspflichten gerecht zu werden.
Zudem hat das ULD in Zusammenarbeit mit weiteren Projektpartnern im Rahmen des Projekts „Forum Privatheit“ ein White Paper zur Datenschutz-Folgenabschätzung veröffentlicht, welches als Werkzeug für einen besseren Datenschutz dienen soll, woran sich Unternehmen orientieren können.
Der Landesbeauftragte für den Datenschutz in Niedersachsen hat auf seiner Website Informationen bereitgestellt, die einen Überblick zu dem Datenschutzbeauftragten nach der DS-GVO geben sollen, unter anderem eine Checkliste zur Benennung eines Datenschutzbeauftragten nach der DS-GVO für Verantwortliche und Auftragsverarbeiter von Unternehmen und Unternehmensgruppen.
Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat auf der Website eine FAQ-Seite eingerichtet, um einen ersten Überblick über die DS-GVO zu ermöglichen.
Der Landesbeauftragte für Datenschutz Sachsen-Anhalt hat in einem Dokument „Jetzt auf die Europäische Datenschutz-Grundverordnung vorbereiten“ besonders wichtige Punkte speziell für Unternehmen und Vereine zusammengefasst, die für die Geschäftsführungen, betriebliche Datenschutzbeauftragte und Beschäftigte, die personenbezogene Daten verarbeiten wichtig werden könnten.
Auf der Website des Landesbeauftragten für Datenschutz Sachsen-Anhalt findet sich ein Hinweis auf Praxishilfen der Gesellschaft für Datenschutz und Datensicherheit e.V., welche der Landesbeauftragte bei der Prüfung, inwieweit der Datenschutz an die DS-GVO anzupassen ist, für sehr hilfreich hält. Darunter finden sich unteranderem ToDos für die Übergangsfrist bis zur Geltung der DS-GVO und Verantwortlichkeiten und Aufgaben nach der DS-GVO.
Die Artikel-29-Gruppe veröffentlicht neben den Stellungnahmen und Interpretationsleitfäden, nunmehr auch erste abgestimmte Auslegungshilfen der deutschen Aufsichtsbehörden zur DS-GVO. Damit erhalten Unternehmen für ihr Projekt zur Umsetzung der DS-GVO Hilfestellungen bei der Auslegung der Vorschriften zum neuen europäischen Datenschutzrecht.
Bitkom – Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. – hat ein FAQ-Dokument „Was muss ich wissen zur EU-Datenschutz-Grundverordnung?“ veröffentlicht, welches das Ziel hat, den Einstieg in die Planung zur Umsetzung der DS-GVO für Unternehmen zu erleichtern. Es soll vor allem kleinen und mittleren Unternehmen als Checkliste dienen, um möglichst zielgerichtet innerhalb des Unternehmens die richtigen Prozesse in Gang zu setzen.
Vom Forum für Datenschutz werden Seminare für Unternehmen angeboten, die die Praxis des betrieblichen Datenschutzbeauftragten und aktuelle Anforderungen unter Berücksichtigung der EU-DS-GVO/BDSG-neu zum Thema haben.
Das Bundesamt für Sicherheit und Informationstechnik hat insbesondere hinsichtlich der im Unternehmen verwendeten IT-Systeme IT-Grundschutzkataloge veröffentlicht, die eine Auswahl an geeigneten Maßnahmen zur Erreichung und Aufrechterhaltung der Datensicherheit enthalten. Damit will das BSI eine einfache Methode anbieten, um alle Informationen einer Institution angemessen zu schützen.
Zur Ermittlung des Standes der Technik nach dem IT-Sicherheitsgesetz hat der Bundesverband IT-Sicherheit eine Handreichung erarbeitet, die ebenfalls als Leitlinie zur Ermittlung des „Standes der Technik“ herangezogen werden kann. Mit dieser Handreichung sollen Handlungsempfehlungen und eine Orientierung gegeben werden. Dabei wird der „Stand der Technik“ für die relevanten Systeme, Komponenten und Prozesse im Sinne des IT-Sicherheitsgesetztes zusammengefasst.
Das Standard-Datenschutzmodell ist eine Methode, die im November 2016 von der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder veröffentlicht wurde, mit der die Übereinstimmung von gesetzlichen Anforderungen und deren Beachtung bzw. Umsetzung in personenbezogenen Verfahren herstellbar wird. Das verbessert insbesondere die Integrität und Transparenz auch von Datenschutz-Beratungen und Prüfungen. Somit konnte erstmals für den Bereich des operativen Datenschutzes sichergestellt werden, dass eine deutschlandweit einheitliche Datenschutz-Beratungs- und Prüfungspraxis erreicht werden kann.
Nach Aussage des ULD berücksichtigt dieses SDM die Anforderungen der DS-GVO im Bereich der technischen und organisatorischen Maßnahmen, so dass dieses auch zur Umsetzung des Art. 32 DS-GVO herangezogen werden kann.
Es bleibt abzuwarten, ob diese konkreten Maßnahmen an die DSGVO bzw. die Neufassung des BDSG angepasst werden und inwiefern neue Maßnahmen und Möglichkeiten für Unternehmen zur Einhaltung und Feststellung eines Datenschutzniveaus zur Einhaltung der Informationssicherheit entwickelt werden.
Mit der DSGVO und der Neufassung des BDSG könnte für Unternehmen ein erheblicher Änderungs- und Anpassungsbedarf bestehen, nicht zuletzt wegen der hohen Bußgeld- und Schadensersatzrisiken.
Bei der Umsetzung der neuen Vorgaben stehen den Unternehmen verschiedene Auslegungs- und Hilfsmittel u.a. der deutschen Datenschutzbehörden zur Verfügung.
Letztendlich gibt es unserer Ansicht nach allerdings keine Musterlösung, die die Unternehmen vorzugehen haben.
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871
AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main